Strukturfrage bei Seite mit User-Login und SQL-Anbindung

Alles, was PHP betrifft, kann hier besprochen werden.

Strukturfrage bei Seite mit User-Login und SQL-Anbindung

Postby axel3 » 21. July 2004 07:22

Moin,moin:
Komme bei die ser Allgemeinen Sache nicht recht weiter:
Ich baue eine Webseite, bei der sich die User auf der Startseite einloggen können.
Wer sich nicht einloggt, bekommt die "normale" webseite zu sehen.
Wer sich erfolgreich einloggt, bekommt außerdem noch ein paar Buttons mehr, die zu seinem speziellen Account gehören.
Jeder registrierte User hat also Recht auf einige oder alle der vorhandenen Buttons. (Buttons verweisen auf Seiten)

Wo verwalte ich am besten die Passwörter, damit sich die User nur 1 X pro Session anmelden, die Passworter aber sicher sind?
Und wie verhindere ich, daß umregistrierte Benutzer Zugriff auf die anderen Buttons / Seiten bekommen?

Ich brauche also nur ein paar Tipps zur Struktur, das Einzelne bastel ich mir dann schon irgendwie selbst...
Vielen Dank im Voraus!
User avatar
axel3
 
Posts: 20
Joined: 21. July 2004 07:00

Postby BlackbirdHakke » 21. July 2004 07:44

Moin..

nach erfolgreicher Anmeldung kannst du entweder eine bestimmte Session generieren, die einen Key enthält, oder/und einen Cookie speichern, den du auf der Seite ausliest, und entsprechend reagierst. Bei mir läuft eine und-Kombi, die prima funktioniert, und bisher nicht zu knacken war. Selbst mit geklautem Cookie war ein Login nicht möglich (sofern der User ausgeloggt war). Wichtig: niemals das Passwort (egal ob md5() oder unverschlüsselt) speichern, weder in Session noch im Cookie.

Bei mir wird zB unter anderem ein Hashwert aus Passwort +Zeit in die Session und im Cookie gespeichert, daneben noch solche Sachen wie Username etc.

Unregistrierte haben weder einen Cookie (werden auch beim Ausloggen gelöscht), noch einen gültigen Key in der Session, per einfachem if kann also der Content für Besucher/Registrierte verwaltet werden.

LG,Flo
~ich bin, denke ich~
Ishundia - das RPG
BlackbirdHakke
 
Posts: 89
Joined: 24. February 2004 08:51

Postby axel3 » 21. July 2004 09:34

Moin:
Danke für die Antwort.
Verstehe ich das Richtig:
Session erzeugen.
User meldet sich mit Name und Passwort auf der Startseite an.
Php verifiziert Passwort & Loginname in SQL-Tabelle.
Php schreibt bei "PWD passt zuLoginname" die Rechte auf Buttons als True/False in Session_Datei.
Die extra-Buttons erscheinen auf der Startseite.
Bei jedem Seitenaufruf über Extrabutton prüft die entsprechende Seite die Session_Datei, ob das entsprechende Recht vorhanden ist.

Richtig, oder?

Gruß:
Axel3
User avatar
axel3
 
Posts: 20
Joined: 21. July 2004 07:00

Postby BlackbirdHakke » 21. July 2004 10:18

Joa, im Prinzip richtig :)

Die Session wird sowieso erzeugt, es geht nur darum, ihr Informationen (wenn registriert) hinzuzufügen, die du auf jeder Seite, auf der die Session weitergeführt wird, auslesen und entsprechend reagieren kannst.

Dabei isses bei mir ja nicht nur true/false, sondern (noch dazu) welche Rechte er hat (Admin, Mod, User etc), also ein Status. Ein Adminpaneel zB benötigt nicht nur die Abfrage, ob der User erfolgreich eingeloggt ist, sondern auch, obs nur ein User ist, oder eben ein Berechtigter.

LG,Flo
~ich bin, denke ich~
Ishundia - das RPG
BlackbirdHakke
 
Posts: 89
Joined: 24. February 2004 08:51


Return to PHP

Who is online

Users browsing this forum: No registered users and 20 guests